CrimsonEDR:一款恶意软件模式识别与EDR策略评估工具

admin
admin
admin
138876
文章
114
评论
2024年7月1日23:19:46评论14 views字数 1362阅读4分32秒阅读模式

 

关于CrimsonEDR
CrimsonEDR是一个功能强大的开源项目,该项目旨在帮助广大研究人员识别特定的恶意软件模式,以此来优化终端检测与响应(EDR)的策略方案。通过使用各种不同的检测方案,可以加深开发人员与研究人员加深对安全规避策略的理解。
CrimsonEDR:一款恶意软件模式识别与EDR策略评估工具
功能介绍
CrimsonEDR:一款恶意软件模式识别与EDR策略评估工具
工具安装
首先,我们需要使用下列命令安装该工具所需的依赖组件:
sudo apt-get install gcc-mingw-w64-x86-64
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Helixo32/CrimsonEDR
然后切换到项目目录中,并使用下列命令完成代码编辑:
cd CrimsonEDR;chmod +x compile.sh;./compile.sh
工具使用
确保ioc.json文件位于正在监视的可执行文件的启动目录中。比如说,如果你想要监控的可执行程序位于C:Usersadmin,则DLL会尝试在C:Usersadminioc.json路径下寻找ioc.json。当前版本的ioc.json包含与msfvenom相关的模式,我们可以根据自己的需求进行修改,格式如下:
{"IOC": [ ["0x03", "0x4c", "0x24", "0x08", "0x45", "0x39", "0xd1", "0x75"], ["0xf1", "0x4c", "0x03", "0x4c", "0x24", "0x08", "0x45", "0x39"], ["0x58", "0x44", "0x8b", "0x40", "0x24", "0x49", "0x01", "0xd0"], ["0x66", "0x41", "0x8b", "0x0c", "0x48", "0x44", "0x8b", "0x40"], ["0x8b", "0x0c", "0x48", "0x44", "0x8b", "0x40", "0x1c", "0x49"], ["0x01", "0xc1", "0x38", "0xe0", "0x75", "0xf1", "0x4c", "0x03"], ["0x24", "0x49", "0x01", "0xd0", "0x66", "0x41", "0x8b", "0x0c"], ["0xe8", "0xcc", "0x00", "0x00", "0x00", "0x41", "0x51", "0x41"] ]}
然后使用下列参数执行CrimsonEDRPanel.exe:
-d <path_to_dll>:指定CrimsonEDR.dll文件的路径;-p <process_id>:指定需要注入DLL的目标进程PID;
运行命令样例如下:
.CrimsonEDRPanel.exe -d C:TempCrimsonEDR.dll -p 1234
许可证协议
Windows Defender 和其他防病毒程序可能会将该 DLL 标记为恶意程序,因为其包含用于验证 AMSI 是否包含补丁字节的内容。因此在使用CrimsonEDR时,请确保将 DLL 列入白名单或暂时禁用防病毒软件,以避免任何中断。
工具使用演示
CrimsonEDR:一款恶意软件模式识别与EDR策略评估工具

项目地址

CrimsonEDR:
https://github.com/Helixo32/CrimsonEDR

原文始发于微信公众号(FreeBuf):CrimsonEDR:一款恶意软件模式识别与EDR策略评估工具

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月1日23:19:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CrimsonEDR:一款恶意软件模式识别与EDR策略评估工具https://cn-sec.com/archives/2906523.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息